Administración de alertas de gobernanza de aplicaciones

Puede investigar alertas sobre aplicaciones y aplicaciones en la nube malintencionadas que pueden presentar riesgos para su organización en las páginas alertas o incidentes de Microsoft Defender XDR.

Por ejemplo:

Visualización de los detalles de la alerta

De forma predeterminada, en la página Alertas de Microsoft Defender XDR se enumeran las nuevas alertas generadas por la gobernanza de la aplicación en función de las reglas de detección de amenazas y las directivas activas. Para ver los detalles de una alerta específica, seleccione la alerta. Se abre una página con información adicional sobre la alerta y las opciones para administrar la alerta.

Por ejemplo:

En la página, puede obtener información adicional de la sección Artículo de alerta :

• Detalles exactos sobre por qué se creó la alerta en What happened
• Información sobre cómo corregir la alerta en Acciones recomendadas

Administración de una alerta de gobernanza de aplicaciones

Para investigar y realizar acciones en una aplicación en gobernanza de aplicaciones, seleccione la tarjeta de entidad de la aplicación en Entidades relacionadas y, a continuación, seleccione Ver detalles de la aplicación.

Las directivas de aplicación que configuró para la corrección automática de la acción tienen el estado Resuelto.

Para administrar la alerta de gobernanza de aplicaciones:

1. Investigación: examine la información de la alerta y cambie su estado a Marcar en curso.
2. Resolución: después de la investigación y, según sea necesario, la determinación de los cambios en la directiva de la aplicación o la compatibilidad continua de la aplicación en el inquilino, cambie su estado a Resuelto.

En función de los patrones de alerta de la aplicación, puede actualizar la directiva de aplicación adecuada y cambiar su configuración de Acciónpara realizar la corrección automática. Esto elimina la necesidad de investigar y resolver manualmente las alertas futuras que son generadas por la directiva de aplicación. Para obtener más información, consulteAdministre sus directivas de aplicación.

Prohibición o aprobación de una aplicación de OAuth conectada a Salesforce y Google Workspace

Nota:

Esta sección solo es relevante para aplicaciones de Salesforce y Google Workspace.

1. En las pestañas Aplicaciones de Google o Aplicaciones de Salesforce , seleccione la aplicación para abrir el panel Aplicación y ver más información sobre la aplicación y los permisos que se le concedieron.

   • Seleccione Permisos para ver una lista completa de los permisos concedidos a la aplicación.
   • En Uso de la comunidad, puede ver lo común que es la aplicación en otras organizaciones.
   • Seleccione Actividad relacionada para ver las actividades que aparecen en el registro de actividad relacionado con esta aplicación.

2. Para prohibir la aplicación, seleccione el icono de prohibición al final de la fila de la aplicación en la tabla. Por ejemplo:

   

   • Puedes elegir si quieres indicar a los usuarios que se ha prohibido la aplicación que instalaron y autorizaron. La notificación permite a los usuarios saber que la aplicación se deshabilitará y que no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Notificar a los usuarios que han concedido acceso a esta aplicación prohibida en el cuadro de diálogo.
   • Se recomienda que permita que los usuarios de la aplicación sepan que su aplicación está a punto de prohibirse.

   Por ejemplo:

   

3. Escriba el mensaje que desea enviar a los usuarios de la aplicación en el cuadro Escribir un mensaje de notificación personalizado. Seleccione Ban app (Prohibir aplicación ) para enviar el correo y prohibir la aplicación a los usuarios de la aplicación conectada.

4. Para aprobar la aplicación, seleccione el icono aprobar al final de la fila de la tabla.

   

   • El icono se vuelve verde y la aplicación se aprueba para todos los usuarios de la aplicación conectada.
   • Cuando se marca una aplicación como aprobada, no hay ningún efecto en el usuario final. Este cambio de color está pensado para ayudarle a ver las aplicaciones que ha aprobado para separarlas de las que aún no ha revisado.

Revocación de la aplicación OAuth conectada a Salesforce y Google Workspace y notificación al usuario

Nota:

Esta sección solo es relevante para aplicaciones de Salesforce y Google Workspace. Para Google Workspace y Salesforce, es posible revocar el permiso a una aplicación o notificar al usuario que debe cambiar el permiso. Al revocar el permiso, se quitan todos los permisos concedidos a la aplicación en "Aplicaciones empresariales" en Microsoft Entra ID.

1. En las pestañas Aplicaciones de Google o Aplicaciones de Salesforce , seleccione los tres puntos al final de la fila de la aplicación y seleccione Notificar al usuario. De forma predeterminada, el usuario recibe una notificación de la siguiente manera: Autorizó a la aplicación a acceder a su cuenta de Google Workspace. Esta aplicación entra en conflicto con la directiva de seguridad de la organización. Reconsidere la concesión o revocación de los permisos que le dio a esta aplicación en su cuenta de Google Workspace. Para revocar el acceso a la aplicación, vaya a: https://security.google.com/settings/security/permissions?hl=en& pli=1 Seleccione la aplicación y seleccione "Revocar acceso" en la barra de menús derecha. Puede personalizar el mensaje que se envía.

2. También puede revocar permisos para usar la aplicación para el usuario. Seleccione el icono al final de la fila de la aplicación en la tabla y seleccione Revocar aplicación.

   

Pasos siguientes

Protección de aplicaciones que acceden a API que no son de Graph mediante la gobernanza de aplicaciones